Les griefs retenus ont été les suivants :
Selon le grief 3, la banque n’était pas en mesure, au moment du contrôle, de traiter dans des délais raisonnables les éventuelles opérations atypiques ou suspectes détectées par son outil de surveillance automatisé, puisque 63 % des alertes émises entre le 1er janvier 2021 et le 15 mars 2022 (24 000 alertes sur un total de 38 020) étaient encore en attente de traitement.
« Ainsi que la Commission l’a précisé à de nombreuses reprises, il appartient aux organismes assujettis de paramétrer correctement leur dispositif de surveillance automatisé et de disposer d’effectifs suffisants pour traiter avec célérité les alertes qui en sont issues (décision n° 2013-01 du 25 novembre 2013, point 48, décision n° 2020-01 du 24 décembre 2020, point 20, décision n° 2020-05 du 7 mai 2021, point 5). »
La Commission a ainsi pu estimer dans sa décision n° 2024-02 du 19 juin 2025 qu’un délai supérieur à quatre mois pour analyser un quart des alertes émises par un dispositif de surveillance, caractérise un manquement à l’article 4 de l’arrêté du 6 janvier 2021 précité. A fortiori, il en va de même lorsque plus de la moitié des alertes n’a pas été traitée dans le délai d’un an.
Selon le grief 4, la banque n’a pas respecté ses propres critères de distinction entre client occasionnel et client en relation d’affaires pour onze de ses clients. Sa procédure LCB-FT en date du 24 janvier 2022 précise en effet, pour les opérations de transfert de fonds, qu’à compter de la 7e opération sur une année glissante, quel que soit le montant unitaire ou cumulé des opérations, un client ne peut plus être considéré comme un client occasionnel, mais doit être requalifié en relation d’affaires. Or, les onze clients identifiés par la mission de contrôle avaient tous réalisé sept opérations ou davantage, pour des montants compris entre 2000 et 12 000 euros, tout en restant qualifiés de clients occasionnels, ce qui a empêché l’établissement de respecter à leur endroit les obligations imposées par les articles L. 561-5 et L. 561-6 du CMF. Cette mauvaise qualification avait d’ailleurs été constatée par le contrôle permanent de la banque dans 38 % des 528 dossiers qu’il avait examinés au titre du premier semestre 2022.
Selon le grief 5, la mission d’inspection a identifié, durant ses investigations, vingt-cinq opérations qui auraient dû faire l’objet d’une déclaration de soupçon. Pour remédier à cette carence, la banque a déclaré à Tracfin, entre le 4 mai et le 21 juin 2023, soit pendant le contrôle sur place, vingt-trois des opérations précitées. Toutefois, comme l’indique la Commission, « ces déclarations de soupçon demeurent tardives au regard du texte susvisé, qui impose de déclarer de telles opérations sans délai dès lors qu’elles ont déjà été exécutées ». En effet, le délai moyen de transmission de ces déclarations est de 768,83 jours à compter de la date à partir de laquelle les opérations auraient pu apparaître comme suspectes. Certaines opérations ont eu lieu entre 2018 et 2021, ou en 2022, pour une déclaration intervenue en 2023.
Selon le grief 6, la banque a omis de procéder à deux déclarations de soupçon concernant les opérations de deux de ses clients.
Dans un dossier, l’un des clients travaillait dans une ambassade. Il percevait à ce titre une rémunération mensuelle de 16 647 euros. Alors qu’il était le seul mandataire du compte de l’ambassade, ses comptes personnels ont enregistré des opérations créditrices, sous forme de virements sans justificatifs, dont certaines en provenance directe du compte de l’ambassade, pour un montant total de 240 837 euros en 2019. La banque, qui avait bloqué les comptes de son client, sans procéder à une DS, a indiqué à la mission de contrôle que « la situation de ce dossier s’inscrit dans le cadre d’une procédure disciplinaire de 5 collaborateurs en raison d’un défaut important de contrôle de 1er niveau et du non-respect de nos procédures internes. Les opérations douteuses ont pu être écartées dans le cadre de l’enquête menée notamment au regard de la collecte des justifications et justificatifs permettant de lever le doute sur ces opérations ». Elle n’a toutefois fourni à la mission aucun des justificatifs en cause.
Dans un autre dossier, le client avait indiqué à l’établissement que son activité principale consistait à proposer des formations en ligne sur des questions liées à la religion musulmane, à permettre à ses followers d’acheter des produits proposés par des entreprises partenaires et à vendre des espaces publicitaires sur ses vidéos hébergées par une plateforme internet à destination du grand public. Il percevait au titre de ces trois activités plus de 200 000 euros de revenus annuels. La mission de contrôle a constaté par ailleurs que le client était imam d’une mosquée et gérait une agence de voyages spécialisée dans le pèlerinage islamique, activité qui lui procurait un revenu mensuel complémentaire de 18 000 euros. Le compte personnel du client comportait de nombreux mouvements, au débit et au crédit, relatifs à ses activités professionnelles. Au terme d’un examen renforcé des opérations, la direction de la conformité de la banque a demandé la clôture du compte du client, sans toutefois procéder à une DS. Un second examen renforcé lié à la restitution des fonds à la suite de la clôture du compte, n’a pas non plus donné lieu à une déclaration de soupçon, bien que l’examen renforcé ait conduit l’établissement à ne pas réaliser l’opération, compte tenu de liens possibles avec le financement d’un mouvement salafiste.
Selon le grief 7, la direction de la conformité de la banque (conformité siège) ne disposait pas, au moment du contrôle, d’un accès direct aux outils de surveillance et de filtrage de ses succursales belge, italienne et espagnole, alors que ces dernières utilisaient des outils qui leur étaient propres : « Dès lors, les équipes de la conformité siège ne pouvaient pas s’assurer de la cohérence du paramétrage de ces outils, ni diligenter en autonomie des contrôles de deuxième niveau. Elles devaient se contenter d’exercer leurs contrôles sur la base des extractions et reportings – au demeurant lacunaires – qui leur étaient fournis par ces succursales, sans pouvoir en vérifier la fiabilité, ce qui est de nature à remettre en cause l’indépendance et l’efficacité des contrôles réalisés ».
Cette difficulté d’accès aux outils de ces trois succursales et l’insuffisance des informations pour pouvoir contrôler ces dernières sont des carences qui avaient été relevées par l’inspection générale du groupe, dans le cadre de sa mission relative au dispositif de gouvernance, de contrôle interne et de gestion des risques de la banque. Pour autant, les plans de contrôle 2022 et 2023 ne comportaient aucun point de contrôle sur le paramétrage des outils de surveillance et de filtrage utilisés par ces succursales. Par ailleurs, le contrôle permanent de deuxième niveau de la banque ne couvrait pas les examens renforcés réalisés, aussi bien en France que dans les succursales européennes.
